在Microsoft 365中摆脱旧式身份验证协议的指南
微软365(M365),原名Office 365(O365),是微软的云战略旗舰产品,未来会有重大变化,比如不推荐他们的旧身份验证协议
基本身份验证协议通常存储在设备上或保存在设备上,依赖于在每次请求时发送用户名和密码,增加了攻击者获取用户凭据的风险,尤其是在没有TLS保护的情况下。基本身份验证虽然对使用遗留软件的公司来说是必要的,但无法强制执行MFA,并被现代身份验证所取代
微软多年来一直在关注这些遗留设置。2018年,微软宣布将推出一系列变革—;最终遭到抨击—;将其身份验证控制作为帮助组织降低风险的手段。这些变化发生在数年之后,在2021年9月,他们宣布将开始永久禁止所有租户中的基本AUTH,不管使用情况如何,除了SMTP AUTH在2022年底以外。
为了使这些传统协议能够顺利过渡到现代环境,Adaptive Shield创建了一个分步指南,以帮助您降低风险并加强组织的M365安全性
Adaptive Shield还开发并发布了一个PowerShell脚本,该脚本创建了一个统一的报告,以绘制组织的态势,以了解哪些用户启用了遗留协议—;供你复制粘贴。本文介绍了本指南的主要内容,包括发现技术和阻止访问过程,同时向您展示了如何处理特殊排除
基本身份验证协议列表
为了确保组织的部署安全,第一步是了解存在哪些类型的基本身份验证协议。在Microsoft内部,考虑的基本/遗留协议包括:
- 认证SMTP–;POP和IMAP客户端用于发送电子邮件
- 自动发现–;Outlook和EAS客户端用于在Exchange Online中查找和连接邮箱
- Exchange ActiveSync(EAS)和#8211;用于连接Exchange Online中的邮箱
- Exchange Online PowerShell–;用于通过远程PowerShell连接到Exchange Online
- Exchange Web服务–;Outlook、Outlook for Mac和第三方应用程序使用的编程界面
- IMAP–;由IMAP电子邮件客户端使用,允许用户从任何地方和任何设备访问电子邮件
- MAPI over HTTP–;Outlook 2010及更高版本使用
- OAB(离线通讯簿)和#8211;Outlook下载并使用的地址列表集合的副本
- Outlook服务–;用于Windows 10的邮件和日历应用程序
- POP3–;POP电子邮件客户端用于下载新邮件并将其从电子邮件服务器Reporting Web Services中删除
- 其他客户–;被确定为利用传统身份验证的任何其他协议
这些身份验证协议不支持诸如多因素身份验证(MFA)之类的现代身份验证机制,这意味着启用MFA是不够的
为了增强安全性和降低风险,组织必须找到所有使用旧协议的用户和服务,迁移到使用现代协议,并阻止基本协议
本白皮书将带您了解发现和阻止过程,此外还将分享有关其他控制的说明,如邮箱服务和条件访问策略,这些可以加强您的Microsoft 365安全态势
发现:了解你的姿势
在关闭组织内的所有遗留协议之前,确定使用基本身份验证的用户和服务非常重要。让用户知道系统正在升级,这将有助于避免业务中断,并促进向现代协议的无痛过渡,而不是降低生产效率和让用户感到沮丧,这一点很重要
以下是使用以下方法了解组织态势的几种方法:
- 显示哪些用户启用了exchange旧协议
- 显示了基本身份验证协议的实际使用情况Azure广告登录日志–;显示使用旧身份验证客户端执行的登录
- PowerShell脚本
- 运行PowerShell脚本可以作为一个很好的起点来规划需要缓解的用户和服务环境脚本的。该脚本生成一个文件:BasicProtocolsReport。csv。此文件将显示用户及其旧协议状态。每个协议的状态都根据身份验证策略、邮箱服务和传输配置进行测试。
以下是完整有效载荷的列表:
用户
has_mailbox-指示用户是否拥有已授权的邮箱
已阻止-帐户状态(已启用/已禁用)mfa-多因素身份验证注册状态身份验证策略-有效身份验证策略的名称(如果已设置)
- is_ap_def-指示有效的身份验证策略是组织默认的还是专门分配给用户的
- #协议列(activesync、imap、mapi、pop、smtp、outlookservice、powershell、ExchangeWebServices、自动发现、OfflineAddressBook、rpc、ReportingWebServices)-状态(真-启用;假-阻止)
- protocl_方法列(activesync、imap、mapi、pop、smtp、outlookservice)-可以使用邮箱服务设置、身份验证策略和传输配置(smtp的全局设置)阻止这些协议。此列详细说明了阻止这些协议的方法
- 有条件接收–;只报告
- 创建一个带有条件访问的报告(见图1),该报告模拟了如果阻止基本身份验证协议将受到影响的用户和服务。通过此报告,您可以了解实际使用旧协议的用户和服务
- 本报告的建议运行时间为三个月,超过一个业务季度,以捕获任何空闲用户,以及零星或定时服务
查看报告并将其与PowerShell脚本结果交叉引用,将帮助您更好地了解正在使用的旧协议,降低丢失服务或仍在使用基本身份验证协议的用户的可能性
Azure广告登录日志
Azure广告登录日志是了解你的姿势的另一种有用方法。深入日志并过滤“客户端应用程序”可以显示使用旧身份验证客户端执行的登录
了解SSPM解决方案如何为您自动化此过程阻止访问在仔细调查并发现基本身份验证协议的所有用法之后。
请注意,Azure登录日志的保留期最长可达30天,如果这是唯一使用的策略,您可能会错过用户和服务 |
有几种众所周知的阻止身份验证协议的方法,一种流行的方法是使用条件接收策略
然而,使用条件接收作为第一道防线有缺点
第一要素身份验证。这意味着凭据可能会被泄露(因为仍将向客户端提供反馈,这在暴力攻击中是一个优势),因此邮箱可能没有被破坏,但攻击者可以在其他系统上尝试验证密码
身份验证策略
从源头开始。微软有一个专门的功能来阻止基本的身份验证协议,这使得使用管理控制台进行控制变得很容易更改管理中心中的设置将创建一个新的身份验证策略,并将其设置为组织的默认策略,去办公室管理中心->;设置->;组织设置->;现代身份验证,取消选中所有基本身份验证协议(确保已选中现代身份验证)。参见
 |
使用PowerShell验证:
默认策略=获取组织配置|选择默认身份验证策略
获取身份验证策略$default#u策略。DefaultAuthenticationPolicy
您可以使用PowerShell命令设置异常并为特定用户分配不同的身份验证策略:
新认证策略-名称“工程组”-AllowBasicuThimap
设置用户-标识;用户身份-认证策略;政策认同
本例创建了一个名为Engineering Group的新身份验证策略,该策略允许使用IMAP进行基本身份验证,并将其分配给用户
身份验证策略是必须的,但不足以单独阻止这些遗留协议的威胁风险。身份验证策略涵盖旧客户端、邮箱协议(如IMAP和SMTP)以及其他客户端(如PowerShell)。
